bg
Chcę wiedzieć o...
Strona główna
Bez kategorii
UODO: Numer PESEL nie powinien widnieć w certyfikacie podpisu elektronicznego

UODO: Numer PESEL nie powinien widnieć w certyfikacie podpisu elektronicznego

Dodano: 2024-12-03
Kategorie:

Prezes Urzędu Ochrony Danych Osobowych (UODO) zwrócił się do Ministra Cyfryzacji z wnioskiem o zmianę przepisów dotyczących usług zaufania i identyfikacji elektronicznej. Wprowadzenie zmian ma na celu wyeliminowanie praktyki ujawniania numeru PESEL w certyfikatach kwalifikowanego podpisu elektronicznego.

Problem ten został zgłoszony przez różne instytucje i organizacje, które korzystają z kwalifikowanego podpisu elektronicznego. Zgodnie z obecnymi praktykami, dostawcy takich usług pozyskują numer PESEL użytkownika, a następnie umieszczają go w certyfikacie, który jest publicznie dostępny. Co istotne, ani polskie, ani europejskie przepisy nie wymagają takiego działania.

Podstawą prawną regulującą stosowanie kwalifikowanego podpisu elektronicznego jest rozporządzenie eIDAS (Rozporządzenie Parlamentu Europejskiego i Rady nr 910/2014) oraz polska ustawa o usługach zaufania i identyfikacji elektronicznej z 2016 roku. Według eIDAS, certyfikat powinien zawierać identyfikator z rejestru publicznego, który jednoznacznie identyfikuje osobę posługującą się podpisem elektronicznym. Jednak, zdaniem UODO, nie musi to być numer PESEL – równie dobrze można zastosować inny rodzaj identyfikatora.

Numer PESEL to unikalna dana osobowa przypisana obywatelowi, wykorzystywana głównie w relacjach z państwem. Oprócz jednoznacznego identyfikowania osoby, pozwala na ustalenie dodatkowych informacji, takich jak płeć czy wiek, co podnosi ryzyko nadużyć. Przepisy nie przewidują obowiązku umieszczania tej informacji w certyfikacie podpisu elektronicznego.

Zgodnie z RODO (art. 6 ust. 1 lit. c), przetwarzanie danych osobowych jest zgodne z prawem jedynie wtedy, gdy jest niezbędne do wypełnienia określonych obowiązków prawnych. O ile użycie numeru PESEL w procesie weryfikacji osoby składającej wniosek o certyfikat jest uzasadnione, o tyle jego ujawnianie w certyfikacie dostępnym publicznie budzi poważne wątpliwości.

Zmiana przepisów postulowana przez UODO miałaby na celu zwiększenie ochrony danych osobowych obywateli i zmniejszenie ryzyka ich nieuprawnionego wykorzystania. Wprowadzenie alternatywnego identyfikatora mogłoby w znacznym stopniu poprawić poziom bezpieczeństwa oraz zgodność z unijnymi standardami ochrony danych.

Artykuły powiązane

Brak regulacji dla kancelarii odszkodowawczych. Rzecznik Praw Obywatelskich wzywa Ministra Sprawiedliwości do działania

RPO kolejny raz zwraca się do Ministra Sprawiedliwości z pytaniem o postępy w przygotowaniu przepisów mających na celu o...

Maksymalna kwota odszkodowania przysługująca pacjentowi, którego zdrowie ucierpiało na skutek leczenia.

Rzecznik Praw Pacjenta zdecydował o wypłacie najwyższej możliwej kwoty odszkodowania – 222 800 zł – osobie, której zdrow...

TFG informuje: ponad 2,3 miliona osób wybrało ofertę biur podróży na początku 2025 roku.

W pierwszym kwartale bieżącego roku liczba osób, które zdecydowały się na zakup zorganizowanej imprezy turystycznej, wzr...